Todas las preguntas

1
respuesta

CSRF en llamadas API desde Javascript en el navegador

Noté que los tokens se usaban en las presentaciones de formularios para evitar ataques CSRF, aunque en 2016 muchas personas se están moviendo a JS frontend & APIs tranquilos. Estoy desconcertado, con este enfoque, ¿ya no hay necesidad de tok...
pregunta 03.03.2016 - 02:08
2
respuestas

VPN para proteger el tráfico de un servidor a un sitio remoto

Necesito instalar un servidor en el sitio de un cliente (Sitio A) que necesite comunicarse de manera segura a una red en otro sitio (Sitio B). La comunicación entre el sitio A y el sitio B se realiza a través de Internet. Hay una serie de protoc...
pregunta 20.02.2016 - 10:21
1
respuesta

¿Hay alguna forma o herramienta para verificar si una aplicación iOS en particular está implementando la funcionalidad de fijación de SSL?

Estoy aprendiendo la seguridad de iOS. Esta es completamente una pregunta para principiantes. Estoy tratando de averiguar si hay alguna manera particular de verificar si una aplicación de iOS está implementando la funcionalidad de fijación de...
pregunta 11.02.2016 - 13:15
1
respuesta

Correo desde Outlook a GMX: a través de Yahoo? [cerrado]

Al inspeccionar la fuente de un correo de estafa claro que recibí, noté que el correo enviado desde Outlook a GMX de alguna manera ha pasado a través de los servidores de Yahoo, ¿cómo es posible? ¿Es alguna forma de ocultar su identidad original...
pregunta 11.02.2016 - 14:39
1
respuesta

¿Qué debo hacer para mi esquema de autenticación de API web?

Últimamente he estado leyendo mucho sobre los mecanismos de autenticación de la API web y estoy un poco confundido con respecto a cómo implementar mi mecanismo de autenticación de la API web. Estoy pensando en usar la autenticación basada en tok...
pregunta 26.02.2016 - 01:49
1
respuesta

¿Existe un vector XSS para los campos de entrada ocultos sin usar la tecla de acceso HTML?

Tengo algunos casos de scripts entre sitios (XSS) en campos de entrada de HTML ocultos. Hay algunos vectores XSS conocidos que se pueden usar, por ejemplo, utilizando la tecla de acceso HTML.    XSS en entradas ocultas suele ser muy difícil d...
pregunta 04.03.2016 - 10:53
2
respuestas

¿Qué información de autenticación se revela localmente con eduroam WPA-Enterprise 802.1X?

Si se autenticó con sus credenciales de eduroam en una institución participante, su institución de origen es la que realiza la autenticación de las credenciales, y la institución anfitriona solo proporciona el acceso a Internet. ¿Qué informac...
pregunta 23.02.2016 - 00:44
1
respuesta

Cómo optimizar la velocidad de craqueo con Reaver

Al probar la seguridad de la red con Reaver para descubrir WPS, ¿qué parámetros usas habitualmente con respecto a la velocidad de craqueo? Elegí para TP-LINK Archer C20i AC750 Dual Band un retardo de 20s, teclas DH pequeñas y no nacks, pero creo...
pregunta 18.02.2016 - 20:32
2
respuestas

¿Por qué obtuve una IP y un certificado incorrectos para www.facebook.com ahora mismo? [cerrado]

Acabo de navegar a www.facebook.com y mi navegador me avisó que se había recibido un certificado no válido. Revisé el certificado en cuestión y me sorprendió ver que el nombre común en él era www.hackermagnet.com. Después de la maldición inic...
pregunta 16.02.2016 - 21:45
2
respuestas

¿Una contraseña de Diceware multilingüe sería más segura que una monolingüe? [duplicar]

Recientemente he estado leyendo sobre Diceware, y me pregunto si usar una combinación de idiomas lo haría aún más seguro. A primera vista, obligaría a un atacante potencial a considerar un espacio de búsqueda aún mayor, incluso si saben que us...
pregunta 02.03.2016 - 10:01